Перейти к содержанию
Правила раздела

Подмена скачиваемых файлов

theoldfedokh

Автор theoldfedokh,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

theoldfedokh

theoldfedokh 0

Опубликовано
Опубликовано

Друг решил пошутить и прислал мне вирусный файл: *** , запустил и начался апокалипсис:

Какой-то вирус меняет скачиваемые файлы на архивы, в которых содержатся exeшники вирусов. Просканировал компьютер с помощью Dr. Web cureit, он ничего не нашел, читал на форуме, что у человека была похожая проблема: https://forum.kasperskyclub.ru/index.php?showtopic=57535

Заливаю логи в прикрепленном файле.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на форуме.

CollectionLog-2017.11.26-19.45.zip

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('netfilter2');
 QuarantineFile('C:\Users\Fedor\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('C:\Users\Fedor\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\netfilter2.sys', '');
 QuarantineFileF('c:\users\fedor\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Fedor\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('C:\Users\Fedor\Favorites\Links\Интернет.url');
 DeleteFile('C:\WINDOWS\system32\drivers\netfilter2.sys', '32');
 DeleteService('netfilter2');
 DeleteFileMask('c:\users\fedor\appdata\local\yc', '*', true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [Discord] C:\Users\Fedor\AppData\Local\Discord\app-0.0.298\Discord.exe  (file missing)

O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.36
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.37
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.36
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.37
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 82.202.226.203
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


 

Ссылка на сообщение
Поделиться на другие сайты
theoldfedokh

theoldfedokh 0

Опубликовано
  • Автор
Опубликовано

https://virusinfo.info/showthread.php?t=216467

https://virusinfo.info/virusdetector/report.php?md5=CA8948E42C6A97E2CD44AC1F072CC38A


Логи


Adw cleaner

CollectionLog-2017.11.26-22.03.zip

AdwCleanerS0.txt

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

1) - Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.

 

2)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) Сделайте свежие логи Автологером.

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

Если только вы не из Нидерландов, то вирус у вас до сих пор остался :).

 

1) - Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.
- Очистите кеш и куки браузеров

 

2)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) Java 8 Update 144 - устаревшая, уязвимая версия. Деинсталируйте её.

 

4) Сделайте свежие логи Автологером.

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

AdwCleanerS0.txt

перечитайте внимательно, я другой лог просил.

 

- Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.

похоже тоже не сделали.

Так что ждём пока сделаете, то что просили.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Лог очистки AdwCleaner старый, от 20 августа.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

 

 


Поменяли роутер даже
но при этом у вас до сих пор
O17 - DHCP DNS - 1: 213.46.172.36
O17 - DHCP DNS - 2: 213.46.172.37

 

Страна:     Netherlands
IP диапазон:     213.46.172.0 - 213.46.172.255
CIDR:     213.46.172.0/24
Название провайдера:     Chello Broadband

Это явно не ваш провайдер. Так что либо у вас до сих пор вирусные настройки в роутере, либо по DHCP получает их с другого устройства. Разбирайтесь какое устройство там заражено и исправляйте. Если собственных знаний не хватает, то можете обратиться в тех. поддержку провайдера объяснить проблемы с вирусным DNS и попросить помочь настроить.


+ Автологер за это время обновился. Так что после этого скачайте свежую версию Автологера и свежие логи соберите свежей версией.

Ссылка на сообщение
Поделиться на другие сайты
theoldfedokh

theoldfedokh 0

Опубликовано
  • Автор
Опубликовано

Возможно, что провайдер как раз-таки и в Нидерландах, потому что я в Чехии проживаю сейчас.


Farbar


лог

Shortcut.txt

FRST.txt

Addition.txt

CollectionLog-2017.12.15-18.14.zip

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

 

 


Возможно, что провайдер как раз-таки и в Нидерландах, потому что я в Чехии проживаю сейчас.

А нет возможности уточнить это его DNS или нет? Или хотя бы можете сказать Chello Broadband это он?
 
И в остальном как понимаю больше ничего не беспокоит?
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • aronone
      NET.MALWARE.URL не удаляется, просьба помочь удалить
      От aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

×
×
  • Создать...